Gerir a capacidade de engano no Microsoft Defender XDR
Artigo
Aplica-se a:
Microsoft Defender XDR
Microsoft Defender para Ponto de Extremidade
Importante
Algumas informações neste artigo estão relacionadas com produtos/serviços pré-lançados que podem ser substancialmente modificados antes do lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
O Microsoft Defender XDR, através da capacidade de decepção incorporada, fornece deteções de alta confiança de movimento lateral operado por humanos, impedindo que os ataques atinjam os recursos críticos de uma organização. Vários ataques, como o comprometimento de e-mail empresarial (BEC),ransomware, violações organizacionais e ataques de estado-nação utilizam frequentemente movimento lateral e podem ser difíceis de detetar com elevada confiança nas fases iniciais. A tecnologia de decepção do Defender XDR fornece deteções de alta confiança com base em sinais de engano correlacionados com sinais do Microsoft Defender para Endpoint.
A capacidade de engano gera automaticamente contas, anfitriões e iscos de aspeto autêntico. Os recursos falsos gerados são implementados automaticamente em clientes específicos. Quando um atacante interage com os iscos ou iscos, a capacidade de engano gera alertas de alta confiança, ajudando nas investigações da equipa de segurança e permitindo-lhe observar os métodos e estratégias de um atacante. Todos os alertas gerados pela capacidade de engano são automaticamente correlacionados com incidentes e estão totalmente integrados no Microsoft Defender XDR. Além disso, a tecnologia de engano está integrada no Defender para Endpoint, minimizando as necessidades de implementação.
Para obter uma descrição geral da capacidade de decepção, veja o seguinte vídeo.
Pré-requisitos
A tabela seguinte lista os requisitos para ativar a capacidade de engano no Microsoft Defender XDR.
Requisito
Detalhes
Requisitos de assinatura
Uma destas subscrições: - Microsoft 365 E5 - Microsoft Security E5 - Microsoft Defender para Endpoint Plano 2
Tem de ter uma das seguintes funções atribuídas no centro de administração do Microsoft Entra ou no centro de administração do Microsoft 365 para configurar as capacidades de engano: – Administrador global – Administrador de segurança – Gerir definições do sistema de portal
Observação
A Microsoft recomenda a utilização de funções com menos permissões para uma melhor segurança. A função Administrador Global, que tem muitas permissões, só deve ser utilizada em situações de emergência quando nenhuma outra função se adequar.
O que é a tecnologia de engano?
A tecnologia de engano é uma medida de segurança que fornece alertas imediatos de um potencial ataque às equipas de segurança, permitindo-lhes responder em tempo real. A tecnologia de engano cria recursos falsos, como dispositivos, utilizadores e anfitriões que parecem pertencer à sua rede.
Os atacantes que interagem com os recursos de rede falsos configurados pela capacidade de engano podem ajudar as equipas de segurança a impedir potenciais ataques de comprometer uma organização e monitorizar as ações dos atacantes para que os defensores possam melhorar ainda mais a segurança do seu ambiente.
Como funciona a capacidade de engano do Microsoft Defender XDR?
A capacidade de decepção incorporada no portal do Microsoft Defender utiliza regras para criar iscos e iscos que correspondem ao seu ambiente. A funcionalidade aplica machine learning para sugerir iscos e iscos adaptados à sua rede. Também pode utilizar a funcionalidade de decepção para criar manualmente os iscos e iscos. Estes iscos e iscos são implementados automaticamente na sua rede e plantados em dispositivos que especificar com o PowerShell.
Figura 1. A tecnologia de engano, através de deteções de alta confiança de movimentos laterais operados por humanos, alerta as equipas de segurança quando um atacante interage com anfitriões falsos ou iscos
Os engodos são dispositivos e contas falsos que parecem pertencer à sua rede.
Os iscos são conteúdos falsos plantados em dispositivos ou contas específicos e são utilizados para atrair um atacante. O conteúdo pode ser um documento, um ficheiro de configuração, credenciais em cache ou qualquer conteúdo que um atacante possa provavelmente ler, roubar ou interagir. Atrai informações, definições ou credenciais importantes da empresa.
Existem dois tipos de iscos disponíveis na funcionalidade de decepção:
Iscos básicos – documentos plantados, ficheiros de ligação e outros semelhantes não têm interação mínima ou com o ambiente do cliente.
Atrações avançadas – conteúdo plantado, como credenciais em cache e intercepções que respondem ou interagem com o ambiente do cliente. Por exemplo, os atacantes podem interagir com credenciais de engodo que foram injetadas respostas a consultas do Active Directory, que podem ser utilizadas para iniciar sessão.
Observação
Os iscos só são plantados em clientes Windows definidos no âmbito de uma regra de engano. No entanto, as tentativas de utilizar qualquer anfitrião ou conta de engodo em qualquer cliente integrado no Defender para Endpoint geram um alerta de engano. Saiba como integrar clientes em Integrar no Microsoft Defender para Endpoint. A plantação de iscos no Windows Server 2016 e posteriores está prevista para desenvolvimento futuro.
Pode especificar isco, iscos e o âmbito numa regra de engano. Veja Configurar a funcionalidade de decepção para saber mais sobre como criar e modificar regras de engano.
Quando um atacante utiliza um engodo ou um isco em qualquer cliente integrado no Defender para Endpoint, a capacidade de engano aciona um alerta que indica uma possível atividade de atacante, independentemente de o engano ter sido ou não implementado no cliente.
Identificar incidentes e alertas ativados por engano
Os alertas baseados na deteção de enganos contêm erros no título. Alguns exemplos de títulos de alerta são:
Tentativa de início de sessão com uma conta de utilizador enganosa
Tentativa de ligação a um anfitrião enganador
Os detalhes do alerta contêm:
A etiqueta Deception
O dispositivo de engodo ou a conta de utilizador onde o alerta teve origem
O tipo de ataque, como tentativas de início de sessão ou tentativas de movimento lateral
Figura 2. Detalhes de um alerta relacionado com a decepção
Para obter essa credencial de Habilidades Aplicadas da Microsoft, os alunos demonstram a capacidade de usar o Microsoft Defender XDR para detectar e responder a ameaças cibernéticas. Os candidatos a essa credencial devem estar familiarizados com a investigação e coleta de evidências sobre ataques a pontos de extremidade. Eles também devem ter experiência usando o Microsoft Defender para Ponto de Extremidade e a KQL (Linguagem de Consulta Kusto).